Assises de la Scurit et des Systmes d'Information 2011

Confrence de clture discours de Patrick PAILLOUX

Monaco, le vendredi 7 octobre 2011. Seul le prononc fait foi.

Il me revient la responsabilit de conclure ces assises. Comme chaque anne maintenant, on ne peut que constater un succs de plus en plus grand. Je veux y voir la prise conscience croissante de l'importance de nos sujets - j'y reviendrai - mais c'est aussi et surtout le rsultat du travail exceptionnel men par les organisateurs anne aprs anne. Il me semble que l'on peut a minima les applaudir. La deuxime chose que je souhaite vous dire ou plutt vous montrer cest la nouvelle identit visuelle de lANSSI. Vous allez y retrouver les ides de dfense et scurit, la France sous diffrentes formes et le fait que la cyberscurit a ncessairement une dimension mondiale.

Pour ceux auxquels cela aurait chapp jen profite pour dire que lANSSI va recruter probablement autour dune centaine de nouveaux collaborateurs en 2012 et encore 100 en 2013. Donc nhsitez pas le faire savoir. Bien, aprs cette courte introduction, j'ai peur que le reste de mon intervention soit moins consensuel et peut-tre moins agrable entendre. Ce que j'ai vous dire aujourd'hui, c'est : CELA NE PEUT PAS CONTINUER COMME CELA !

Les systmes d'information en France, comme de par le monde, sont en danger : jai parfois limpression que nous les avons abandonns. Alors naturellement, on n'a pas rien fait. Partout, on va trouver des dispositifs de scurit, des antivirus, des firewalls, des systmes de chiffrement de fichiers, des VPN... En plus, tout cela a cot de l'argent obtenu aprs d'pres ngociations... Dans toute entreprise srieuse, on dispose d'une politique de scurit, on fait des analyses de risques, on a mis en place une gestion de la maturit conforme aux dernires normes en la matire, on fait mme parfois des audits de scurit et on a toujours ou presque un plan de continuit d'activit. Last but not least, on a une organisation qui rpond tous les canons du mtier : un RSSI indpendant de la direction des systmes d'information, une direction de la scurit rattache la direction gnrale...

Une entreprise ou une administration qui correspond peu ou prou la description que je viens de faire est, vue de notre communaut ANSSI comprise comme un exemple suivre et globalement reprsente la trs grande majorit des organisations franaises de taille respectable. J'aurais donc toutes les raisons d'tre satisfait. Malheureusement, il n'en est rien, et on est loin du compte, trs loin. Pourquoi ? Tout simplement parce que la ralit vraie, celle que l'on constate tous les jours, c'est que nos systmes d'informations sont trs souvent permables, et que trs souvent, des acteurs malveillants en ont trs largement profit. Vous ne me croyez pas ? je suis trop dur ? Permettez-moi de prendre quelques exemples et de faire un peu d'introspection collective. Chez vous : combien de personnes disposent du mot de passe administrateur permettant d'accder au systme central de gestion des droits ? quel mot de passe est utilis pour installer une imprimante ? le mot de passe permettant le contrle total de votre systme d'information, ou un autre ? chaque administrateur dispose-t-il d'un mot de passe diffrent ? lorsqu'un administrateur travaille autre chose qu' des tches d'administration, quel type de compte utilise-t-il ? vous-mmes ici prsents, quels droits avez-vous sur le systme d'information ? quand, pour la dernire fois, quelqu'un a-t-il vrifi qui disposait des droits d'accs la messagerie de votre PDG ou DG ? qui a vrifi si cette nuit, un fichier zip de 2 Go n'avait pas t extrait de votre systme d'information ? quelqu'un regarde-t-il de temps en temps si les flux sortant de votre SI, la nuit par exemple, sont lgitimes ? si les adresses de destination sont normales ?

votre propre poste de travail est-il jour de ses correctifs de scurit ? votre SI comporte-t-il encore des applications tournant sur Windows XP pack 2, voire 2000, voire mme NT4 (on en voit plus souvent qu'on ne le penserait) ? Dans ce cas, quelles mesures de prcaution ont t prises ? (La seule mesure qui vaille dans un tel cas est l'isolement total du reste du rseau. ) quelqu'un a-t-il la cartographie de votre rseau - vraiment, pas juste une ide plus ou moins prcise dans sa tte, mais un vrai schma ? combien d'accs internet avez vous ? o sont-ils ? sont-ils tous administrs ? surveills ? combien de temps se passe-t-il entre le moment o quelqu'un quitte votre organisation et le moment o son compte est supprim ? les comptes non individuels, les comptes de service, vous en avez combien ? quoi servent-ils ? la dernire fois que vous tes venus travailler un dimanche, quelqu'un est-il venu vous demander le lundi s'il tait normal que quelqu'un se soit connect sur votre compte dimanche ? les autoruns des cls USB sont-ils dsactivs ? les utilisateurs peuvent-ils installer des applications ? quel plan avez-vous en cas d'intrusion majeure dans votre systme ? que se passe-t-il quand vous dcouvrez un poste de travail compromis par un virus ? vous le changez simplement ou vous vrifiez si par hasard l'attaquant n'aurait pas rebondi ailleurs dans votre systme ?

Si vous (ou quelqu'un chez vous) ne savez pas rpondre une seule de ces questions, alors tout ce que vous faites en scurit ne sert rien. Quand je dis rpondre, je dis rpondre vraiment, prcisment, honntement, pas simplement oui, oui quelqu'un sait, on s'en occupe, on a un plan d'action qui va nous permettre de rpondre cette question... Tout ce que je vous raconte, c'est ce que l'on rencontre tous les jours, partout ou presque. Tout ce que je vous raconte, c'est ce que les attaquants qui sont dans nos rseaux utilisent - je devrais dire ont utilis - dans la plupart des cas d'attaque que nous avons traits depuis un an, et croyez-moi ils sont nombreux. Tout ce que je vous raconte permet de court-circuiter les dispositifs de scurit qui sont en place. Pourquoi en est-on arriv l ? D'abord on fait de la scurit cache-sexe. Vous savez, celle qui ne mange pas de pain, celle qui permet croire que l'on fait de la scurit mais qui n'embte ni les utilisateurs ni les informaticiens. Des exemples de scurit cache-sexe ? une analyse de risque, alors que le projet est lanc voire quasi fini ; 3

une politique de scurit qui dit : une politique de mot de passe sera mise en place , utiliser des lignes DSL avec prcaution , dfinir correctement le cadre associ la mission d'un prestataire de services informatiques externe ... ; un audit de scurit qui n'est pas suivi d'effets rels ; une politique de logs, mais personne qui les regarde ; un systme de dtection d'intrusion, mais que personne ne regarde...

Ensuite, on fait exclusivement de la scurit technique. On achte des dispositifs techniques de plus en plus sophistiqus sans tre certain que quelqu'un va y comprendre quelque chose. On dploie des dispositifs de scurit puis on ne s'en occupe plus. On ne laisse jamais un btiment trs sensible protg uniquement par des systmes d'alarme, et pourtant c'est autrement plus fiable que l'informatique. Les dispositifs de scurit ne sont performants que le jour o on les achte. Ils doivent tre mis jour au fur et mesure de l'volution de la menace. On fait de la scurit primtrique, une sorte de ligne Maginot qui est videmment aisment contournable, beaucoup plus facilement que la vraie ligne Maginot ! Enfin les informaticiens, les administrateurs n'appliquent pas les rgles lmentaires d'hygine. Alors videmment c'est beaucoup plus simple de se plaindre des utilisateurs qui font tout et n'importe quoi. Mais nous, que faisons-nous ? Bref, en matire de scurit, on a compltement abandonn nos systmes d'information. On installe frntiquement des nouveaux services, avec les options par dfaut et on passe autre chose. IL FAUT REPRENDRE LE POUVOIR SUR NOS PROPRES SYSTEMES. Il y a une bonne nouvelle dans tout ce que je viens de vous prsenter. C'est que finalement, il n'y a pas de fatalit. Reprendre le contrle de nos systmes d'information, c'est possible et ce n'est pas si difficile que cela. Cela a t fait dans les diffrentes institutions o nous avons d intervenir suite une attaque informatique. Plus largement, nous constatons des volutions positives dans les organisations que nous paulons, ne serait-ce par exemple que sur la prise en compte de la scurit en amont des projets. Encourageants galement les efforts payants ! - engags ici ou l pour sensibiliser les utilisateurs. Aujourdhui il est rare de rencontrer quelquun qui na pas entendu parler de scurit informatique. Rappelez-vous la situation il y a deux ou trois ans. Tout cela va dans le bon sens. Je ne vais pas reprendre la liste des questions que jai grenes tout lheure. Mais vous avez d comprendre que cela ne cote pas des centaines de millions d'euros, cela n'est pas

extraordinairement compliqu, cela n'a pas ncessairement un impact insurmontable sur les utilisateurs. Il faut simplement le vouloir, tre soutenu raisonnablement par la direction gnrale, et que la DSI s'y attelle vraiment - sous-entendu que cela fasse parti de ses objectifs et qu'on lui en donne les moyens, qui, l encore, ne sont pas exorbitants. Prenons juste le premier exemple que jai cit : combien de personnes disposent du mot de passe administrateur permettant d'accder au systme central de gestion des droits, l'Active Directory si vous tes en Microsoft ? . Rduire le nombre de personnes qui disposent dun accs total au systme dinformation ce nest ni compliqu, ni cher. Peut-tre faut-il un peu de persuasion vis--vis des administrateurs. Alors videmment, on ne va pas par ce type de mesures lmentaires se protger contre des attaquants de trs haute vole disposant de moyens tatiques, mais : vous serez protgs contre 95% des attaques que nous constatons, vous serez autrement mieux prpars si vous devez faire face aux 5% restants, mais surtout cela ne sert strictement rien de faire compliqu si on ne fait pas le basique du basique.

Croyez-moi, si on s'attelle tous cette tche, celle de remettre de l'ordre dans nos systmes en appliquant les rgles lmentaires de scurit, on peut trs significativement amliorer la situation. L'ANSSI a videmment son rle jouer. Les mesures prises par le gouvernent fin mai doivent nous permettre de vous accompagner : de vous aider remdier aux attaques qui vous touchent et de vous donner les conseils et les guides ncessaires l'application de cette scurit des systmes d'information basique que j'appelle de mes voeux. Mais tous seuls que pouvons-nous faire ? J'appelle les industriels du secteur se mobiliser autour de cet objectif : ils doivent tre capables, et c'est encore trop peu le cas, de vous accompagner dans la mise en oeuvre RELLE de cette scurit. On a malheureusement trop peu d'acteurs par exemple aptes vraiment surveiller ce qui se passe sur vos rseaux et vous alerter de mouvements suspects. Trop peu d'acteurs capables de vous aider lorsque vous dcouvrez une attaque. Ils doivent, et c'est encore plus important, appliquer eux-mmes ces rgles. Il est intolrable qu'une nouvelle application soit livre avec des systmes non jour, avec des comptes de dveloppement toujours actifs, des mots de passe crits en dur qu'on ne peut pas changer... Pour ce qui nous concerne lANSSI - nous allons nous le faisons dj intensifier notre action de formation, dassistance et daccompagnement ces industriels. Nous lavons beaucoup trop peu fait par le pass.

J'appelle les directeurs des systmes d'information se mobiliser afin que les rgles lmentaires de scurit soient appliques, et remonter vers leurs directions gnrales et vers nous les incidents de scurit dont ils sont victimes. LANSSI pour sa part va multiplier dans les mois et les annes venir les recommandations et notamment le back to basics que jappelle de mes vux. Recommandations qui pourront tre facilement applicables et vrifiables par tous. J'appelle les directions gnrales mandater formellement leurs DSI pour renforcer la scurit de leurs systmes d'information et leur donner les moyens de le faire. Nous allons pour ce qui nous concerne multiplier les actions de sensibilisations cibles vers les DG, les secrtaires gnraux J'appelle les coles d'ingnieurs et les universits inclure dans leurs formations les rgles d'hygine informatique lmentaires. Un projet informatique rendu avec des mots de passe en dur mrite zro. L encore nous allons publier un certain nombre de recommandations. Enfin jappelle les responsables en charge de la scurit des systmes, vous qui tes ici prsents - mais cela vaut pour moi, pour mes collaborateurs - chaque matin en vous brossant les dents, penser ce que vous pourriez faire aujourdhui pour amliorer concrtement la scurit de votre entreprise, ce que vous pourriez faire pour vrifier quune attaque na pas eu lieu.

Si tous, nous nous mobilisons autour de ces quelques principes, alors je crois sincrement que nous pouvons changer la situation et reprendre le contrle de nos systmes d'information. Vous trouvez sans doute mon discours un peu dur, sans doute un peu svre voire dans certains cas injuste et cest probablement vrai. Mais croyez-moi, et cest vraiment le message que je voulais vous faire passer aujourdhui, nous pouvons faire changer les choses, il ny a pas de fatalit. Il suffit un peu de le vouloir, beaucoup de persuader notre entourage de la ncessit dagir. Je connais beaucoup dentre vous, je connais votre comptence, souvent votre passion, parfois votre sentiment disolement. La bonne nouvelle cest que dsormais le sujet de la cyberscurit proccupe juste titre - les dirigeants de nos entreprises. Cest donc le moment dagir. Votre prsence ici, nombreuse, trs nombreuse, la qualit des travaux qui ont t mens, le mme message que le mien qui a t martel tout au long de ces journes, les multiples exemples concrets de bonnes pratiques qui ont t donns par les confrenciers sont autant de preuves que nous sommes prts changer les choses. C'est le moment pour nous tous d'tre au rendez-vous.